摘要:开源软件曾被视为技术发烧友的 " 专享 ",现在已经逐渐成为众多关键基础设施组件的基本组成部分。《2020 年开源安全和风险分析 ( OSSRA ) 报告》显示:2019 年,经过审计的有效代
开源软件曾被视为技术发烧友的 专享 ,现在已经逐渐成为众多关键基础设施组件的基本组成部分。
《2020 年开源安全和风险分析 ( OSSRA ) 报告》显示:2019 年,经过审计的有效代码库中,99% 的代码库至少包含一个开源组件,开源在所有代码中所占比例高达 70%,这一比例在过去的五年中几乎翻了一番。有 75% 的代码库包含至少一个公开漏洞,明显高于 2018 年的 60%。近半的代码库包含高风险漏洞,占比在 2019 年增至 49%,高于 2018 年的 40%。
一旦具有大规模用户基础的开源软件漏洞被利用,顷刻间亿万设备都会受其影响。面对可能会随时爆发的世界级网络安全浩劫,360 安全大脑快速布局,360BugCloud 开源漏洞响应平台应运而生。
我洞由我 ,360BugCloud 开创漏洞自主议价新模式
一个漏洞的价值到底有多少?
2019 年伊始,微软送出了总额高达 20 万美元的奖金,奖励 360 漏洞研究院冰刃实验室研究员发现的 Hyper-V RCE 漏洞。通过该漏洞,攻击者只需要一台虚拟机就可以直接影响大范围云主机及宿主机的安全。微软通过社交媒体发表感谢称,360 安全研究员提交的这个漏洞 守卫了数十亿用户 的信息安全。
对于企业来说,管理开源的使用非常重要。现代应用中包含大量的开源组件,它们存在安全性、许可和代码质量等一系列问题。
360BugCloud 开源漏洞响应平台通过漏洞悬赏,聚焦收录未被披露的开源以及通用组件高危漏洞,降低漏洞被利用的风险,维护开源软件和供应链安全。在微软 5 月、6 月安全公告中,宣布修复了一批 Windows 平台的安全漏洞。其中,360BugCloud 联合 360 漏洞研究院合力贡献了 22 枚 Windows 漏洞并获得致谢,成为本期微软安全公告的最大亮点。此外,在谷歌 5 月、6 月、7 月修复的安卓平台安全漏洞中,360BugCloud 与 360 漏洞研究院也一同贡献了 3 枚安卓漏洞。在漏洞挖掘上,360BugCloud 将继续不遗余力的专注基础软件的漏洞发现、追踪和防御,积极推动厂商及时修复威胁。
上线近一年,360BugCloud 平台收到了来自全球的大量开源高危漏洞,包含 0day 漏洞和 1day 漏洞,这些漏洞的提交成功守护了数千万台终端,其中包括:IoT/ 网络设备等 3950 万台,建站系统类 2011 万台,框架插件类 872 万台,中间件类 2300 万台,客户端软件 801 万台等,涉及政府、企、事业等上百余家单位,覆盖:能源、金融、交通、医疗、电信、教育、政府众多关键行业领域,避免了全球数亿的价值损失。
与其他平台相比,360BugCloud 首创自主议价的漏洞提交收录模式及第三方专家评审机制, 先谈钱,再交洞 的全新业务模式,让安全研究员全面掌握提交漏洞的主动权,让他们的付出以及每个漏洞价值得到充分的保障与肯定。
漏洞提交前期,安全研究员仅需提交漏洞影响力描述,无需提供细节,即可进行议价沟通;在议价中,安全研究员可随时中止,也可请求平台接入第三方业内知名安全专家参与评估。价值沟通达成一致后,安全研究员提交漏洞细节,平台进行验证与收录。
在近期发起的安全研究员匿名调查中,100% 的安全研究员对 360BugCloud 平台首创的 先谈钱,再交洞 自主议价模式给予了 8 分及以上的分数(满分为 10 分),78.6% 的用户给予了满分肯定。在漏洞定价上,71.4% 的安全研究员给出了 8 分,其中,35.7% 的用户给予了满分。此外,在谈到是否愿意推荐其他 洞友 来 360BugCloud 提交漏洞时,100% 的用户表示:Yes,I do!
携手伙伴,360BugCloud 共建大安全生态
目前,360BugCloud 已联合顶级安全研究员、各大 SRC、国内外开源组织社区、知名安全战队及安全厂商等合作伙伴,一同构建漏洞生态,已累计发放漏洞奖励数千万元。在 6 月发起的 RCE 漏洞赏金计划 · 夏 活动中,360BugCloud 设立了 300 万元漏洞奖金池,并扩大了漏洞收录范围,以鼓励更多安全研究员的加入,共建大安全生态。
未来,360BugCloud 开源漏洞响应平台将继续秉承 Trust 信任,Tenet 原则,Top 权威,Together 共建 的 04T 宗旨,打造 以信任为基础、以公正为原则、以技术为驱动、以安全专家为核心 的漏洞响应平台,严守网络安全 命门 ,共创 21 世纪第五维战略空间新纪元。
相关文章推荐
新网新人专享,注册领SSL证书百元神券2022-09-15
新网与亚洲诚信达成战略合作,携手共建安全云生态2022-09-06
企业网站没有SSL证书,你将面临......2022-09-27
SSL协议、TLS协议,有什么区别?2022-09-26
网站跳出率高?可能是没装SSL证书2022-09-26